odpowiedzialność rekrutera z RODO

 

Odpowiedzialność rekrutera zależy od jego roli wobec danych:

1. Rekruter jako pracownik działu HR (w imieniu pracodawcy)

• Administrator danych: to pracodawca (firma zatrudniająca), nie indywidualny rekruter.
• Rekruter działa na podstawie upoważnienia do przetwarzania danych osobowych i w ramach procedur wdrożonych przez pracodawcę.
• Odpowiedzialność rekrutera ma wtedy charakter pracowniczy – musi przestrzegać procedur, nie wynosić CV, nie kopiować danych na prywatne nośniki, nie przekazywać ich osobom nieuprawnionym.
• Za naruszenie przepisów (np. wyciek danych z winy rekrutera) odpowiedzialność ponosi pracodawca wobec organów nadzorczych i kandydatów, ale rekruter może odpowiadać dyscyplinarnie lub materialnie wobec swojego pracodawcy.

2. Rekruter jako firma zewnętrzna (agencja pracy, headhunter)

• Jeśli działa na zlecenie pracodawcy, zwykle jest podmiotem przetwarzającym (procesorem) – musi mieć podpisaną umowę powierzenia danych z klientem.
• Jeżeli sam zbiera CV, buduje własną bazę kandydatów i dopiero później rekomenduje ich klientom – wtedy pełni rolę administratora danych osobowych (bo sam decyduje o celach i sposobach przetwarzania).
• W obu przypadkach musi:
• realizować obowiązek informacyjny wobec kandydatów,
• dbać o podstawę prawną (np. zgoda kandydata, uzasadniony interes),
• zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne,
• umożliwiać kandydatom korzystanie z praw (dostęp, usunięcie, sprostowanie, ograniczenie).

3. Ryzyka i konsekwencje

• Odpowiedzialność administracyjna: kary finansowe od UODO (do 20 mln € lub 4% obrotu).
• Odpowiedzialność cywilna: kandydat może domagać się odszkodowania za naruszenie jego praw.
• Odpowiedzialność karna: w Polsce np. za nieuprawnione udostępnianie danych (art. 107 ustawy o ochronie danych osobowych).
• Odpowiedzialność pracownicza: jeśli rekruter działa w ramach stosunku pracy i złamie zasady.

---

Procedura bezpiecznego przetwarzania danych osobowych w trakcie pracy zdalnej (dla działu księgowości / biura rachunkowego)

 

Procedura bezpiecznego przetwarzania danych osobowych w trakcie pracy zdalnej

(dla działu księgowości / biura rachunkowego)

1. Cel procedury

Celem niniejszej procedury jest określenie zasad bezpiecznego przetwarzania danych osobowych w trakcie wykonywania pracy zdalnej w obszarze księgowości, w sposób zapewniający zgodność z RODO oraz szczególny poziom ochrony danych finansowych, kadrowych i podatkowych.

Procedura uwzględnia podwyższone ryzyko związane z przetwarzaniem m.in. danych identyfikacyjnych, płacowych, bankowych oraz danych szczególnych kategorii (np. dane o zdrowiu zawarte w dokumentacji kadrowo-płacowej).

2. Zakres procedury

Procedura ma zastosowanie do wszystkich osób wykonujących pracę zdalną w obszarze księgowości, w szczególności: - pracowników działu księgowości, - pracowników biur rachunkowych, - współpracowników B2B, - osób prowadzących obsługę kadrowo-płacową, - innych osób upoważnionych do przetwarzania danych w systemach finansowo-księgowych.

3. Definicje

·       ADO – Administrator Danych Osobowych,

·       praca zdalna – wykonywanie czynności księgowych poza siedzibą ADO,

·       dane osobowe – dane w rozumieniu art. 4 pkt 1 RODO, w tym dane pracownicze, kontrahentów i klientów,

·       dane wrażliwe – dane szczególnych kategorii przetwarzane w ramach dokumentacji kadrowej.

4. Odpowiedzialność

1.       ADO odpowiada za wdrożenie, nadzór i aktualizację procedury.

2.       Osoby wykonujące pracę zdalną odpowiadają za zgodne z procedurą przetwarzanie danych oraz zachowanie tajemnicy księgowej i zawodowej.

5. Zakres i zasady przetwarzania danych w księgowości zdalnej

1.       Dane osobowe mogą być przetwarzane wyłącznie w zakresie niezbędnym do realizacji:

o   obowiązków księgowych i podatkowych,

o   obsługi kadrowo-płacowej,

o   obowiązków sprawozdawczych.

2.       Zabronione jest kopiowanie danych „na zapas” oraz tworzenie prywatnych archiwów dokumentów.

3.       Każda osoba przetwarzająca dane musi posiadać imienne upoważnienie.

6. Organizacja stanowiska pracy zdalnej

1.       Praca zdalna musi być wykonywana w miejscu:

o   zapewniającym poufność danych finansowych,

o   uniemożliwiającym wgląd osób trzecich w dokumenty księgowe.

2.       Zabronione jest przetwarzanie danych księgowych w miejscach publicznych.

3.       Dokumenty papierowe (faktury, listy płac, umowy) należy przechowywać w zamkniętych szafach lub pojemnikach.

7. Zasady korzystania ze sprzętu i systemów księgowych

1.       Dane osobowe mogą być przetwarzane wyłącznie na sprzęcie zatwierdzonym przez ADO.

2.       Systemy finansowo-księgowe muszą:

o   posiadać indywidualne konta użytkowników,

o   rejestrować logi dostępu,

o   być regularnie aktualizowane.

3.       Zabronione jest eksportowanie danych do plików lokalnych bez zgody ADO.

4.       Nośniki danych muszą być szyfrowane.

8. Bezpieczeństwo połączeń i transmisji danych

8A. Szczególne zasady bezpieczeństwa w związku z korzystaniem z KSeF

1. Dostęp do Krajowego Systemu e-Faktur (KSeF) w ramach pracy zdalnej może odbywać się wyłącznie:

o   z wykorzystaniem kont i uprawnień nadanych zgodnie z zasadami określonymi przez ADO,

o   z użyciem sprzętu zatwierdzonego przez ADO.

2. Zabronione jest korzystanie z KSeF z prywatnych urządzeń lub kont niezarejestrowanych w systemach ADO.
3. Dane uwierzytelniające do KSeF (tokeny, certyfikaty, dane dostępowe) podlegają szczególnej ochronie i nie mogą być:

o   udostępniane osobom trzecim,

o   przechowywane w formie jawnej,

o   przesyłane za pośrednictwem niezabezpieczonych kanałów komunikacji.

4. Uprawnienia w KSeF powinny być nadawane zgodnie z zasadą minimalizacji i okresowo weryfikowane.
5. Dostęp do systemów księgowych musi odbywać się z wykorzystaniem:

o   VPN lub innych bezpiecznych połączeń,

o   uwierzytelniania wieloskładnikowego (jeśli dostępne).

6. Przesyłanie dokumentów księgowych odbywa się wyłącznie za pośrednictwem zatwierdzonych kanałów komunikacji.
7. Zabronione jest korzystanie z prywatnych skrzynek e-mail i prywatnych chmur.

9. Przetwarzanie dokumentów księgowych i faktur w KSeF

1.       Faktury ustrukturyzowane przetwarzane w KSeF stanowią dokumentację zawierającą dane osobowe kontrahentów i osób fizycznych.

2.       Zabronione jest pobieranie faktur z KSeF na lokalne nośniki, o ile nie jest to niezbędne do realizacji obowiązków księgowych.

3.       W przypadku pobrania dokumentu z KSeF, pliki muszą:

o   być przechowywane wyłącznie tymczasowo,

o   zostać usunięte po wprowadzeniu danych do systemu księgowego.

4.       Eksport danych z KSeF do systemów finansowo-księgowych musi odbywać się z użyciem narzędzi zatwierdzonych przez ADO.

5.       Zabronione jest przekazywanie faktur pobranych z KSeF klientom lub kontrahentom z wykorzystaniem prywatnych skrzynek e-mail.

10. Przetwarzanie dokumentacji kadrowo-płacowej

1.       Dokumentacja kadrowo-płacowa podlega szczególnej ochronie.

2.       Zabronione jest drukowanie list płac i dokumentów kadrowych bez uzasadnionej potrzeby.

3.       Dane kadrowe nie mogą być przechowywane lokalnie po zakończeniu pracy.

11. Usuwanie i archiwizacja danych

1.       Dane osobowe należy archiwizować wyłącznie w systemach ADO.

2.       Po zakończeniu pracy zdalnej wszelkie lokalne kopie danych muszą zostać usunięte.

3.       Niszczenie dokumentów papierowych odbywa się zgodnie z obowiązującą procedurą archiwizacji.

12. Naruszenia ochrony danych osobowych (w tym KSeF)

1. Za naruszenie ochrony danych w kontekście KSeF uznaje się w szczególności:

o   nieuprawniony dostęp do konta KSeF,

o   utratę tokenu lub certyfikatu,

o   błędne nadanie uprawnień w KSeF,

o   pobranie lub udostępnienie faktur osobom nieuprawnionym.

2. Każde podejrzenie naruszenia należy niezwłocznie zgłosić ADO.
3. Osoby wykonujące pracę zdalną są zobowiązane do natychmiastowego podjęcia działań ograniczających skutki incydentu.
4. Każde podejrzenie naruszenia (np. wysłanie faktury do błędnego odbiorcy, utrata laptopa, nieuprawniony dostęp do systemu) należy niezwłocznie zgłosić.
5. Osoby wykonujące pracę zdalną są zobowiązane do współpracy przy analizie incydentu.

13. Szkolenia i poufność

1.       Przed dopuszczeniem do pracy zdalnej osoby przetwarzające dane księgowe muszą odbyć szkolenie z RODO i bezpieczeństwa informacji.

2.       Obowiązek zachowania poufności obowiązuje również po zakończeniu współpracy.

14. Postanowienia końcowe

1.       Procedura wchodzi w życie z dniem zatwierdzenia przez ADO.

2.       Naruszenie procedury może skutkować odpowiedzialnością porządkową, cywilną lub umowną.

3.       Procedura podlega okresowym przeglądom, nie rzadziej niż raz w roku.

Wypadek dziecka w autobusie z monitoringiem

                                                         

📹 Wypadek dziecka w autobusie z monitoringiem – co może (i powinien) zrobić rodzic zgodnie z RODO?

Sytuacja: dziecko ulega wypadkowi podczas jazdy autobusem wyposażonym w monitoring wizyjny. Rodzic chce uzyskać nagranie.

Kluczowe pytanie: czy i jak można legalnie uzyskać dostęp do nagrania?

---

1️ Ustal, kto jest administratorem danych

Monitoring w autobusie to przetwarzanie danych osobowych w rozumieniu RODO.

Administratorem nagrania będzie zazwyczaj:

• przewoźnik (np. miejska spółka transportowa),
• prywatna firma transportowa,
• ewentualnie szkoła (jeśli to autobus szkolny).

To do administratora kierujesz wniosek.

---

2️ Na jakiej podstawie możesz żądać nagrania?

Rodzic działa jako przedstawiciel ustawowy dziecka i może skorzystać z:

🔹 Prawa dostępu do danych (art. 15 RODO)

Możesz:

• potwierdzić, czy dane dziecka są przetwarzane,
• uzyskać dostęp do nagrania,
• otrzymać kopię danych (z ograniczeniami).

UWAGA:
Nagranie zawiera również wizerunki innych osób. Administrator:

• nie musi wydać pełnego nagrania,
• może zastosować anonimizację (np. zamazać twarze),
• może umożliwić wyłącznie wgląd do nagrania w siedzibie firmy.

RODO chroni wszystkich, nie tylko Twoje dziecko.

---

3️ Działaj szybko – monitoring nie jest przechowywany wiecznie

Standardowy okres retencji monitoringu to:

• 7 dni,
• 14 dni,
• maksymalnie do 30 dni (chyba że nagranie zabezpieczono jako dowód).

Jeśli podejrzewasz, że nagranie może być dowodem (np. sprawa odszkodowawcza, odpowiedzialność przewoźnika) – złóż:

➡️ wniosek o zabezpieczenie nagrania
(oddzielnie od wniosku o dostęp).

Powołaj się na art. 18 ust 1 lit c) RODO. To bardzo ważne – inaczej materiał może zostać automatycznie nadpisany.

---

4️ Co powinien zawierać wniosek?

W piśmie wskaż:

• dane dziecka,
• datę i przybliżoną godzinę zdarzenia,
• numer linii / numer pojazdu (jeśli znany),
• trasę przejazdu,
• opis zdarzenia,
• wyraźne żądanie:
• zabezpieczenia nagrania,
• realizacji prawa dostępu (art. 15 RODO).

Podpisz jako przedstawiciel ustawowy.

---

5️ Czego NIE możesz żądać?

Rodzic nie ma prawa:

• żądać danych innych pasażerów,
• otrzymać niezanonimizowanego nagrania z pełnymi wizerunkami,
• wymusić wydania nagrania, jeśli naruszałoby to prawa innych osób.

Administrator musi wyważyć interesy wszystkich osób widocznych na nagraniu.

---

6️ Co jeśli administrator odmówi?

Powinien:

• wskazać podstawę prawną odmowy,
• uzasadnić ograniczenie dostępu.

W razie wątpliwości możesz złożyć skargę do Urząd Ochrony Danych Osobowych.

---

7️ RODO a postępowanie cywilne / karne

Jeżeli sprawa dotyczy:

• poważnego wypadku,
• odpowiedzialności przewoźnika,
• postępowania karnego,

nagranie może zostać zabezpieczone na potrzeby:

• policji,
• sądu,
• ubezpieczyciela.

RODO nie blokuje dochodzenia roszczeń – ale wymaga legalnej ścieżki.

---

🔎 Podsumowanie – checklista dla rodzica

✔️ Ustal administratora monitoringu
✔️ Złóż wniosek o zabezpieczenie nagrania (pilnie)
✔️ Złóż wniosek o dostęp do danych (art. 15 RODO)
✔️ Przygotuj się na anonimizację nagrania
✔️ W razie odmowy – rozważ skargę do UODO

---

Reprezentacja firmy negatywny test równowagi

 

📌 Schemat decyzyjny – skutki negatywnego testu równowagi

START

  │

  ▼

1️ Firma B chce przetwarzać dane osobowe (DO) JK

   └─ Podstawa: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)

  │

  ▼

2️ Firma B przeprowadza test równowagi

  │

  ├─ ✔ Wynik pozytywny → przetwarzanie dopuszczalne → JK może reprezentować firmę A → KONIEC

  │

  └─ ❌ Wynik negatywny

        │

        ▼

3️ Firma B NIE może przetwarzać DO JK

        │

        ▼

4️ JK nie może realizować umowy z firmą A

   (brak możliwości reprezentacji wobec firmy B)

        │

        ▼

5️ Powstaje problem po stronie firmy A:

   ├─ Czy może zwolnić JK?

   ├─ Czy doszło do naruszenia praw i wolności JK?

   ├─ Czy materializuje się ryzyko z analizy ryzyka?

   └─ Czy należy podnieść poziom ryzyka?

        │

        ▼

6️ Kluczowa analiza:

   Czy samo negatywne rozstrzygnięcie testu równowagi:

   ├─ oznacza naruszenie praw i wolności JK?

   ├─ przenosi skutki prawne na firmę A?

   └─ podważa prawidłowość przyjętej przesłanki przetwarzania?

        │

        ▼

7️ Weryfikacja podstaw przetwarzania:

   ├─ Czy interes firmy B był rzeczywiście uzasadniony?

   ├─ Czy ocena wpływu na prawa i wolności była prawidłowa?

   ├─ Czy istnieje inna podstawa prawna?

   └─ Czy model reprezentacji wymaga zmiany?

        │

        ▼

KONIEC → decyzja organizacyjna i prawna

---

🔎 Logika problemu (uproszczenie do grafiki)

Poziom 1 – przetwarzanie
→ test równowagi
→ negatywny wynik

Poziom 2 – skutek operacyjny
→ brak możliwości reprezentacji
→ konsekwencje umowne

Poziom 3 – ocena prawna
→ czy doszło do naruszenia praw i wolności?
→ czy ryzyko się zmaterializowało?
→ czy przesłanka była właściwa?

---

Reprezentant firmy w zgodzie z RODO

 

Firma A zatrudnia Jana Kowalskiego (JK). W umowie o pracę z nim zawiera obowiązek reprezentowania firmy A na zewnątrz przed innymi firmami, z którymi zawierają umowy. Kiedy firma A zawierał umowę z firmą B to w każdej z nich są wymienione dane osobowe (DO) JK jako reprezentanta.

Fundamentalne pytanie brzmi. Na jakiej podstawie prawnej firma B przetwarza dane JK? 

Prawnicy stoją na stanowisku, że podstawą prawną jest prawnie uzasadniony interes administratora, czyli firmy B, ale to wymaga przeprowadzenia testu równowagi. I teraz sobie wyobraźmy, że firma A i B zawierają umowę? I JK zgłasza sprzeciw na podstawie artykułu 21 RODO (do którego ma prawo). Teraz firma B musi udowodnić, że ma prawo do tych danych. Jednak test może wyjść albo nie (tu nie zgadzam się z opinią, że test równowagi wychodzi zawsze, ponieważ jest to zaprzeczenie istoty sporządzania samego testu. Tu należy założyć, że wyjdzie lub nie wyjdzie, a więc istnieje spore ryzyko, że będzie negatywny) Teraz załóżmy, że test wyszedł negatywnie, czyli nie mogą przetwarzać jego danych osobowych. 

I mamy kolejne pytanie: Czy zgodnie z prawem firma A ma prawo zwolnić JK?

Przecież nie reprezentuje go na zewnątrz, ale to firmie B nie wyszedł test równowagi i nie ma prawa przetwarzać jego danych osobowych, a JK miał prawo zgłosić taki sprzeciw.

Moje stanowisko jest takie:

Firmę A i JK wiąże umowa o reprezentowaniu jej na zewnątrz. Firma A i B zawierają umowę i wskazują JK jako reprezentanta firmy A co daje podstawę prawną przetwarzania danych osobowych JK przez firmę B, oczywiście w zakresie realizacji zapisów tej umowy. Jako podstawę przyjmuję art. 6 ust 1 lit b) „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”

Motyw (44) „Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy”

oraz art.  96 KC „Umocowanie do działania w cudzym imieniu może opierać się na ustawie (przedstawicielstwo ustawowe) albo na oświadczeniu reprezentowanego (pełnomocnictwo)” w połączeniu wykonania go na piśmie o czym wspomina art. 99 §2 KC, ponieważ zgodnie z art. 95 §2 „Czynność prawna dokonana przez przedstawiciela w granicach umocowania pociąga za sobą skutki bezpośrednio dla reprezentowanego” a tym jest realizacja zapisów umowy. Takie stanowisko eliminuje losowość testu równowagi, który może wyjść negatywnie a tym samym firma B nie może przetwarzać DO JK a ten w konsekwencji nie może reprezentować firmy B w trakcie realizacji umowy do czego zobowiązał się w umowie między JK a firmą A. Uważam, że błąd logiczny w rozumowaniu prawników polega na założeniu, że test równowagi zawsze pozwoli przetwarzać DO reprezentanta, tu JK.

Checklist RODO na 2026 r dla firm

 

Aktualna, praktyczna lista kontrolna zgodności z RODO (stan na 2026 r.), z uwzględnieniem różnic branżowych i realiów biznesowych.

---

1. Checklist RODO – część ogólna (dla każdej firmy)

A. Podstawy organizacyjne

• ⬜ Wyznaczono administratora danych (ADO) i jasno opisano jego rolę w szczególności
          w relacji: ADO ↔ADO lub ADO ↔Procesor
• ⬜ Sprawdzono, czy konieczne jest powołanie IOD (Inspektora Ochrony Danych)
• ⬜ Zakres obowiązków IOD jest aktualny i faktycznie realizowany
• ⬜ Personel ma jasno przypisane role w przetwarzaniu danych

B. Dokumentacja RODO

• ⬜ Rejestr czynności przetwarzania (RCzP) – aktualny i kompletny
• ⬜ Polityka ochrony danych osobowych – zaktualizowana
• ⬜ Polityka bezpieczeństwa IT / informacji
• ⬜ Procedura nadawania i odbierania upoważnień
• ⬜ Procedura realizacji praw osób, których dane dotyczą
• ⬜ Procedura naruszeń ochrony danych (72h)
• ⬜ Procedura retencji i usuwania danych

C. Podstawy prawne przetwarzania

• ⬜ Każdy proces ma przypisaną właściwą podstawę prawną (art. 6 / 9 RODO)
• ⬜ Zgody są dobrowolne, konkretne, możliwe do wycofania
• ⬜ Zgody nie są „domyślne” ani ukryte w regulaminach

D. Obowiązek informacyjny

• ⬜ Klauzule informacyjne są aktualne (strona WWW, formularze, umowy)
• ⬜ Klauzule są napisane prostym językiem
• ⬜ Osoby są informowane o wszystkich celach przetwarzania

E. Umowy i podmioty przetwarzające

• ⬜ Zidentyfikowano wszystkich procesorów (IT, księgowość, HR, marketing)
• ⬜ Umowy powierzenia są aktualne i zgodne z art. 28 RODO
• ⬜ Zweryfikowano dalsze powierzenia
• ⬜ Sprawdzono transfery danych poza UE (SCC, TIA)

F. Bezpieczeństwo danych

• ⬜ Wdrożono adekwatne środki techniczne i organizacyjne
• ⬜ Stosowane są MFA, silne hasła, szyfrowanie
• ⬜ Backupy są regularne i testowane
• ⬜ Dostępy są nadawane wg zasady minimalizacji

G. Prawa osób fizycznych

• ⬜ Firma obsługuje wnioski w terminach RODO
• ⬜ Istnieje rejestr żądań
• ⬜ Personel wie, jak reagować na żądania

H. Szkolenia i świadomość

• ⬜ Regularne szkolenia RODO (min. raz w roku)
• ⬜ Szkolenia onboardingowe dla nowych pracowników
• ⬜ Testy wiedzy / potwierdzenia udziału

I. Audyty i ryzyko

• ⬜ Regularna analiza ryzyka
• ⬜ DPIA tam, gdzie wymagane
• ⬜ Audyt wewnętrzny RODO min. raz w roku

---

2. Checklist branżowa – dodatki

IT / SaaS / Software House

• ⬜ Jasny podział ról: ADO vs procesor
• ⬜ Privacy by design & by default w produktach
• ⬜ Logi i monitoring zgodne z zasadą minimalizacji
• ⬜ Procedury dla testów, środowisk DEV/TEST
• ⬜ Retencja danych klientów po zakończeniu umowy

E-commerce

• ⬜ Zgodne cookies i CMP (Consent Management Platform)
• ⬜ Zgody marketingowe oddzielone od regulaminu
• ⬜ Retencja danych klientów i kont nieaktywnych
• ⬜ Integracje z firmami kurierskimi i płatniczymi
• ⬜ Remarketing zgodny z RODO i ePrivacy

HR / Rekrutacja

• ⬜ Odrębne klauzule dla kandydatów i pracowników
• ⬜ Zgody na przyszłe rekrutacje
• ⬜ Dane wrażliwe (badania, niepełnosprawność) – szczególna ochrona
• ⬜ Okresy przechowywania CV

Marketing / Agencje

• ⬜ Jasne role: administrator czy procesor
• ⬜ Zgody na marketing zgodne z RODO i ustawami sektorowymi
• ⬜ Profilowanie opisane w klauzulach
• ⬜ Legalność baz danych

Medycyna / Zdrowie

• ⬜ Przetwarzanie danych szczególnych kategorii
• ⬜ Ograniczony dostęp do dokumentacji medycznej
• ⬜ DPIA dla systemów IT
• ⬜ Ścisła kontrola personelu i uprawnień

Edukacja / Szkolenia

• ⬜ Dane dzieci i młodzieży – dodatkowe zabezpieczenia
• ⬜ Zgody rodziców (jeżeli wymagane)
• ⬜ Wizerunek (zdjęcia, nagrania)
• ⬜ Platformy e-learningowe i dostawcy IT

---

3. Co szczególnie ważne w 2026 r.

• 🔍 Większy nacisk organów na realne stosowanie RODO, nie tylko dokumenty
• 🔍 Kontrole cookies, marketingu i transferów poza UE
• 🔍 Odpowiedzialność zarządu
• 🔍 Integracja RODO z NIS2, AI Act i cyberbezpieczeństwem

---

4. Najczęstsze błędy RODO w 2026 r.

• ❌ „RODO na papierze” – dokumentacja jest, ale procedury nie działają w praktyce
• ❌ Nieaktualny rejestr czynności przetwarzania (nowe systemy, narzędzia, integracje)
• ❌ Brak analizy ryzyka po wdrożeniu nowych technologii (AI, automatyzacje, monitoring)
• ❌ Niewłaściwe podstawy prawne – nadużywanie zgody zamiast umowy lub obowiązku prawnego
• ❌ Zgody marketingowe niezgodne z RODO i przepisami sektorowymi (cookies, e-mail, SMS)
• ❌ Brak DPIA tam, gdzie jest wymagane (profilowanie, dane wrażliwe, monitoring)
• ❌ Niedostosowane umowy powierzenia (stare wzory, brak dalszych powierzeń)
• ❌ Transfery danych poza UE bez realnej oceny ryzyka (TIA tylko „dla formalności”)
• ❌ Brak regularnych szkoleń – pracownicy nie wiedzą, jak reagować na incydenty i wnioski
• ❌ Niedotrzymywanie terminów realizacji praw osób, których dane dotyczą
• ❌ Brak testów procedury naruszeń (firma nie wie, co zrobić w 72h)
• ❌ Zbyt szerokie dostępy do danych (brak zasady minimalizacji)
• ❌ Brak powiązania RODO z cyberbezpieczeństwem, NIS2 i AI Act

---

5. Najczęstsze błędy RODO w 2026 r. – MŚP

(małe i średnie przedsiębiorstwa)

• ❌ Przekonanie „nas RODO nie dotyczy, bo jesteśmy mali”
• ❌ Kopiowanie dokumentów RODO z Internetu lub od innej firmy
• ❌ Brak rejestru czynności przetwarzania „bo nie ma czasu”
• ❌ Łączenie zgody z umową (np. klient musi wyrazić zgodę marketingową)
• ❌ Brak umów powierzenia z księgową, IT, hostingiem, CRM
• ❌ Nieświadome przekazywanie danych poza UE (narzędzia SaaS)
• ❌ Brak procedury naruszeń – panika zamiast działania
• ❌ Brak wiedzy, czym jest DPIA i kiedy jest wymagana
• ❌ Dostęp do danych „dla wszystkich, bo tak wygodniej”
• ❌ Brak szkoleń – RODO zna tylko właściciel
• ❌ Brak retencji danych (CV, klienci, maile przechowywane latami)
• ❌ Nieuaktualnione klauzule informacyjne na stronie WWW